Metade dos 6 Milhões de Servidores FTP Acessíveis na Web Não Possui Criptografia
Uma análise da Censys revelou que quase metade dos 6 milhões de servidores FTP expostos na internet não utiliza criptografia, expondo dados sensíveis a riscos. O estudo destaca a necessidade urgente de migrar para alternativas seguras como SFTP ou FTPS, ou habilitar o TLS explícito.
MundiX News·10 de maio de 2026·3 min de leitura·👁 1 views
A empresa de análise Censys descobriu que existem aproximadamente 6 milhões de sistemas com serviços FTP acessíveis na internet, com quase metade deles não suportando criptografia. Embora o protocolo FTP (File Transfer Protocol) tenha mais de meio século, ele ainda representa 2,72% de todos os sistemas "visíveis" na internet.
De acordo com o relatório dos pesquisadores, o número de hosts com FTP acessível externamente diminuiu em 40% desde 2024, passando de 10,1 milhões para 5,94 milhões. A principal preocupação continua sendo a criptografia, ou melhor, sua ausência. Em 2,45 milhões de todos os serviços FTP detectados, não foram registrados sinais de handshake TLS. Especialistas explicam que isso não significa necessariamente que arquivos e senhas sejam transmitidos em texto simples, mas nenhum sinal de criptografia foi encontrado.
Entre esses 2,45 milhões de serviços, 994.000 não suportam AUTH TLS na porta escaneada, 813.000 solicitam uma senha antes de estabelecer uma conexão criptografada, e mais de 170.000 não possuem suporte para Explicit TLS. Os Estados Unidos lideram com o maior número de hosts FTP (1,2 milhão), seguidos pela China (866.000), Alemanha (467.000), Hong Kong (415.000), Japão (366.000) e França (343.000). A China Unicom (CHINA169) lidera entre os provedores, com 405.000 hosts, seguida por Alibaba (227.000), OVH (177.000), Hetzner (138.000), KDDI Web Communications (127.000) e GoDaddy (126.000). O software de servidor mais popular é o Pure-FTPd, usado em cerca de 1,99 milhões de serviços, seguido por ProFTPD (812.000) e vsftpd (379.000), o daemon FTP padrão para a maioria das distribuições Linux. O IIS (Internet Information Services) da Microsoft representa 259.000 serviços. Todos os exemplos do Windows Server com a função FTP ativada executam o IIS FTP por padrão, e a criptografia foi esquecida em mais de 150.000 deles.
A Censys observa que a geografia, a distribuição por sistemas autônomos e o conjunto de software de servidor indicam que a maioria das configurações FTP na internet é um subproduto das configurações padrão de hospedagem em massa e conexões de banda larga. Os especialistas recomendam que as organizações abandonem completamente o FTP ou migrem para alternativas seguras, como SFTP ou FTPS, que fornecem criptografia e são compatíveis com a maioria dos clientes. É enfatizado que, na maioria dos cenários, o FTP pode ser substituído sem grandes problemas, e em outros casos, a ativação do Explicit TLS é apenas uma questão de configuração, e não de mudança de protocolo (Pure-FTPd e vsftpd o suportam nativamente).
A empresa de análise Censys descobriu que existem aproximadamente 6 milhões de sistemas com serviços FTP acessíveis na internet, com quase metade deles não suportando criptografia. Embora o protocolo FTP (File Transfer Protocol) tenha mais de meio século, ele ainda representa 2,72% de todos os sistemas "visíveis" na internet.
De acordo com o relatório dos pesquisadores, o número de hosts com FTP acessível externamente diminuiu em 40% desde 2024, passando de 10,1 milhões para 5,94 milhões. A principal preocupação continua sendo a criptografia, ou melhor, sua ausência. Em 2,45 milhões de todos os serviços FTP detectados, não foram registrados sinais de handshake TLS. Especialistas explicam que isso não significa necessariamente que arquivos e senhas sejam transmitidos em texto simples, mas nenhum sinal de criptografia foi encontrado.
Entre esses 2,45 milhões de serviços, 994.000 não suportam AUTH TLS na porta escaneada, 813.000 solicitam uma senha antes de estabelecer uma conexão criptografada, e mais de 170.000 não possuem suporte para Explicit TLS. Os Estados Unidos lideram com o maior número de hosts FTP (1,2 milhão), seguidos pela China (866.000), Alemanha (467.000), Hong Kong (415.000), Japão (366.000) e França (343.000). A China Unicom (CHINA169) lidera entre os provedores, com 405.000 hosts, seguida por Alibaba (227.000), OVH (177.000), Hetzner (138.000), KDDI Web Communications (127.000) e GoDaddy (126.000). O software de servidor mais popular é o Pure-FTPd, usado em cerca de 1,99 milhões de serviços, seguido por ProFTPD (812.000) e vsftpd (379.000), o daemon FTP padrão para a maioria das distribuições Linux. O IIS (Internet Information Services) da Microsoft representa 259.000 serviços. Todos os exemplos do Windows Server com a função FTP ativada executam o IIS FTP por padrão, e a criptografia foi esquecida em mais de 150.000 deles.
A Censys observa que a geografia, a distribuição por sistemas autônomos e o conjunto de software de servidor indicam que a maioria das configurações FTP na internet é um subproduto das configurações padrão de hospedagem em massa e conexões de banda larga. Os especialistas recomendam que as organizações abandonem completamente o FTP ou migrem para alternativas seguras, como SFTP ou FTPS, que fornecem criptografia e são compatíveis com a maioria dos clientes. É enfatizado que, na maioria dos cenários, o FTP pode ser substituído sem grandes problemas, e em outros casos, a ativação do Explicit TLS é apenas uma questão de configuração, e não de mudança de protocolo (Pure-FTPd e vsftpd o suportam nativamente).
